Макс: Благодарю, а не могли бы Вы дать ссылку, где данный механизм описан касаемо mysql, в случаи если повторно отправить тот же хеш, аутентификация не пройдет - меня устраивает, в случаи конечно если данный хеш не представляется реально возможным расшифровать так скажем в ближайшие лет 5-10.
Андрей Мохов: Благодарю, Вы правы, в обычном случаи при установлении соединения передается логин и хеш пароля, теперь возникает вопрос о безопасности передачи данного хеша в открытом виде. В худшем случаи придется как вы и сказали использовать real_connect с ssl.
Макс: думал над этим, но если нет необходимости, то и смысла реализовывать нет.
Посмотрел трафик, пароль передается в виде хеша, при каждом соединении хеши разные, но это не внушает доверия, что злоумышленник не сможет использовать один из хешей в своих целях. поэтому изначальный вопрос остается открытым: насколько безопасно подключаться к удаленной БД без использования SSL
Макс: Благодарю, почему-то сам об этом и не подумал, но все равно даже в случаи шифрованной передачи нет уверенности в ее надежности, и к сожалению на данный момент ничего не нашел по данному вопросу.
Разве данный вариант не начнет шифровать все запросы? Я так понимаю это печально скажется на производительности при высоких нагрузках. Возможно немного не понятно задал вопрос: При установлении соединения с удаленной БД передача user/password для доступа к удаленной БД передаются в открытом виде или шифруются и можно не переживать что их кто-то перехватит?
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.